在现代企业网络和远程办公日益普及的背景下,虚拟私人网络(VPN)已成为保障数据传输安全的重要工具,对于使用 CentOS 操作系统的管理员而言,搭建一个稳定、安全且易于管理的 VPN 服务,不仅能够提升网络安全性,还能实现跨地域访问内网资源的能力,本文将详细介绍如何在 CentOS 系统上部署 OpenVPN —— 一款开源、成熟且广泛使用的 VPN 解决方案,并涵盖证书生成、服务配置、防火墙设置及性能调优等关键步骤。
确保你的 CentOS 系统已更新至最新版本(建议使用 CentOS Stream 或 CentOS 7/8 的长期支持版本),安装前,需启用 EPEL 仓库以获取更多软件包支持:
sudo yum install epel-release -y
安装 OpenVPN 及其依赖组件:
sudo yum install openvpn easy-rsa -y
OpenVPN 使用 TLS 加密通信,而证书管理依赖于 Easy-RSA 工具,初始化证书颁发机构(CA):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑 vars 文件,根据需要修改国家、组织名称等信息,然后执行以下命令生成 CA 私钥与证书:
./clean-all ./build-ca
随后生成服务器证书和密钥:
./build-key-server server
客户端证书同样需要生成,每个用户单独创建:
./build-key client1
生成 Diffie-Hellman 参数用于密钥交换:
./build-dh
完成证书准备工作后,复制必要文件到 OpenVPN 配置目录:
cp keys/ca.crt keys/server.crt keys/server.key keys/dh2048.pem /etc/openvpn/
现在创建主配置文件 /etc/openvpn/server.conf示例如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3启动并设置开机自启:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
为使流量通过 NAT 转发,需开启 IP 转发功能:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
配置防火墙规则(若使用 firewalld):
firewall-cmd --add-port=1194/udp --permanent firewall-cmd --add-masquerade --permanent firewall-cmd --reload
将客户端证书分发给用户,并编写 .ovpn 配置文件供导入,常见问题包括证书过期、端口冲突或路由未正确设置,可通过日志 /var/log/messages 和 journalctl -u openvpn@server 进行排查。
通过上述步骤,你可以在 CentOS 上成功部署一个功能完整的 OpenVPN 服务,后续可根据需求扩展双因素认证、负载均衡或集成 LDAP 用户管理,进一步增强安全性与可维护性,对于中小型企业或个人开发者来说,这是一套成本低、可靠性高、灵活可控的解决方案。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
